NIS2 of MIS2?
Inleiding Februari 2026. ShinyHunters, een bekende cybercriminele groep, weet via phishing en social engineering toegang te krijgen tot de Salesforce-omgeving…
Nu de storm rond pgBackRest is gaan liggen is het een goed moment om aandacht te schenken aan de meest recente beveiligingsupdate van PostgreSQL. In het algemeen is dit zeer aan te bevelen om door te voeren maar zeker ook als je organisatie onder de NIS2 (of Nederlandse Cyberbeveiligingswet) valt en je compliance daarmee onder druk staat.
Wat is er aan de hand?
Enkele opvallende kwetsbaarheden die zijn gedicht door deze release:
- Timing-aanval op MD5-wachtwoorden: Een aanvaller kan via tijdsverschillen in de authenticatie gebruikersnaam en wachtwoord reconstrueren. Databases die zijn gemigreerd vanuit oudere PostgreSQL-versies (vóór versie 14) kunnen nog MD5-hashes bevatten. Gebruik je scram-sha-256? Dan ben je veilig. Maar hoeveel productieomgevingen zijn daar al volledig op overgegaan?
- Denial-of-service via SSL/GSS-onderhandeling: Een aanvaller met toegang tot een PostgreSQL TCP-socket kan de database platleggen via ongecontroleerde recursie in de verbindings-setup.
- Stack buffer overflow in de refint-module: Een onbevoegde databasegebruiker kan hiermee willekeurige code uitvoeren als de OS-gebruiker die de database draait. Hoog risico voor omgevingen met gebruiker-gecontroleerde kolommen in referentiële integriteitscontroles.
Naast de beveiligingslekken zijn er ook meer dan 60 bugs opgelost, van foutieve queryresultaten bij nondeterministische collations tot problemen met foreign key-triggers en partition pruning.
Wat moet je doen?
Eenvoudig: updaten. Een minor update bij PostgreSQL vereist geen dump/restore of pg_upgrade. Je stopt de database, installeert de nieuwe binaries en herstart. De meeste organisaties kunnen dit in een gepland onderhoudsvenster afhandelen.
Wacht je hier langer mee, dan worden deze kwetsbaarheden publiek bekend terwijl jouw database nog ongepatcht draait.
PostgreSQL 13 of ouder?
PostgreSQL 13 bereikte zijn end-of-life op 13 november 2025. Dat betekent: de beveiligingslekken die vorige week werden gedicht (inclusief de timing-aanval op MD5-authenticatie, de denial-of-service via SSL en de stack buffer overflow in de refint-module) blijven in PostgreSQL 13 ongepatched. Voorgoed.
En PostgreSQL 14 komt eraan.
Op 12 november 2026 stopt ook PostgreSQL 14 met ontvangen van updates. Gezien de release-cyclus is de versie die vorige week uitkwam (14.23) waarschijnlijk de op-een-na-laatste minor release. Er is nog één kans op een update: in augustus 2026. Daarna: stilte.
Waarom is dit relevant voor jouw organisatie?
Omdat major version upgrades bij PostgreSQL niet triviaal zijn. Je kunt niet zomaar de binaries vervangen zoals bij een minor update. Je hebt pg_upgrade of een dump/restore nodig, je extensies moeten compatibel zijn, en je applicatie moet getest zijn op de nieuwe versie. Dat kost tijd en die heb je nu nog.
De stap van versie 13 of 14 naar versie 16, 17 of 18 is volledig te plannen en uit te voeren zonder noemenswaardige downtime als je het goed aanpakt. Wacht je te lang, dan doe je het alsnog maar dan onder druk.
Wat adviseren wij?
- Draai je nog op PostgreSQL 13: plan de upgrade nú. Je bent al kwetsbaar.
- Draai je op PostgreSQL 14: zet de upgrade in de planning voor vóór november 2026.
- Overweeg direct door te upgraden naar versie 17 of 18, dan heb je de langste supporthorizon.
Niet zeker welke versie jij draait, of hoe groot de stap is? Wij doen graag een QuickScan van je omgeving en geven je een helder upgradeadvies.
Een minor update is een kwestie van plannen en uitvoeren. Ben je niet zeker van je zaak? Wij helpen graag mee. Een major upgrade is een ander verhaal; extensies controleren, applicaties testen, een migratieroute uitstippelen. Spannend, maar heel goed te doen als je er op tijd mee begint. Weet je niet waar je staat? Neem contact op, vrijblijvend zoals altijd, en we kijken samen wat er nodig is.
Ben je toch een beetje verrast en wil je eerder weten waar je aan toe bent en dat het gewoon geregeld wordt? Overweeg dan eens een onderhoudscontract. Dat hoeft niet duur te zijn. Kijk bijvoorbeeld eens bij ons DBFit aanbod.
